假如你疲于管理多个合规标准 可试试CCF
发布时间:2022-05-16 08:50:33 所属栏目:安全 来源:互联网
导读:对于疲于管理多个合规标准并试图构建自己的合规框架的企业而言,Adobe的Common Controls Framework是一个很好的方式。 企业面临的最棘手的合规挑战之一是如何构建一个程序来有效管理所有合规控制以及要求,而没有重叠。Adobe公司最近发布了一份白皮书,其中
 对于疲于管理多个合规标准并试图构建自己的合规框架的企业而言,Adobe的Common Controls Framework是一个很好的方式。 企业面临的最棘手的合规挑战之一是如何构建一个程序来有效管理所有合规控制以及要求,而没有重叠。Adobe公司最近发布了一份白皮书,其中介绍了其Common Controls Frameworks(CCF)以及它如何帮助满足重要标准。虽然该白皮书没有详细细节,但其中该公司从自身的角度强调了多标准合规性的重要性,毕竟这家软件制造商必须遵守各种标准。 如果你疲于管理多个合规标准 可试试CCF 与此同时,支付卡行业数据安全标准(PCI DSS)主要针对处理信用卡信息的商家和服务提供商,其中PCI DSS 11.2要求规定每季度对计算机系统进行扫描,需由授权扫描供应商执行。 如果企业试图合理化FedRAMP和PCI DSS要求,企业可能会创建单个控制来覆盖这两个要求。在这个例子中,企业的合规框架可能只要包含对由PCI DSS授权扫描供应商执行的季度漏洞扫描,因为这个合理化控制就已经同时满足FedRAMP RA-5和PCI DSS 11.2的要求。企业只需要继续满足其自己的控制标准,便可确保其符合这两个要求。 Adobe的CCF对Adobe相关的10个重要的安全要求进行了合理化,这些包括PCI DSS、FedRAMP、Sarbanes-Oxley法案、ISO 27001等。Adobe的合理化过程将1000个详细的要求分成200个合理化要求。 分阶段进行合规合理化 在其白皮书中,Adobe将CCF称为正在进展中的工作,其部署路线图跨越四年时间。该公司的白皮书中概述了2016年年底前在多个Adobe产品部署CCF的分阶段方法。 当企业构建自己的合规程序时,可使用这种分阶段的方法作为合规合理方法的参考。据推测,Adobe公司在该计划的初始阶段执行了风险评估,并以***风险和***努力领域为目标。这种方法会先瞄准唾手可得的目标,给企业提供直接利益。不过,企业可能会选择根据当前的控制状态、审核的可能性、安全风险、执法处罚和其他标准来优先排序合规活动。 虽然公司不能直接利用Adobe的CCF作为自己的合规计划,但它可以被用来作为企业做法的模式,从清点合规要求开始,在构建完成的清单后,通过执行评估或在现有框架(例如UCF)构建来执行控制合理化。然后你的企业可以映射安全控制到合理化要求,以及简化合规流程。 (编辑:宁德站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐